Professional Documents
Culture Documents
SER UN HACKER
Leccin 1: Ser un Hacker
WARNING
The Hacker Highschool Project is a learning tool and as with any learning tool there
are dangers. Some lessons, if abused, may result in physical injury. Some additional
dangers may also exist where there is not enough research on possible effects of
emanations from particular technologies. Students using these lessons should be
supervised yet encouraged to learn, try, and do. However ISECOM cannot accept
responsibility for how any information herein is abused.
The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:
All works in the Hacker Highschool Project are provided for non-commercial use with
elementary school students, junior Highschool students, and Highschool students whether
in a public institution, private institution, or a part of home-schooling. These materials may
not be reproduced for sale in any form. The provision of any class, course, training, or
camp with these materials for which a fee is charged is expressly forbidden without a
license, including college classes, university classes, trade-school classes, summer or
computer camps, and similar. To purchase a license, visit the LICENSE section of the HHS
web page at http://www.hackerhighschool.org/licensing.html.
The Hacker Highschool Project Project is an open community effort and if you find value in
this project, we ask that you support us through the purchase of a license, a donation, or
sponsorship.
AVISO
El proyecto Hacker Highschool es una herramienta de aprendizaje, y como tal
existen riesgos. El mal uso de algunas lecciones puede terminar en dao fsico. Existen
riesgos adicionales ya que no existen estudios suficientes sobre los posibles efectos de las
emisiones en algunas tecnologas. Los estudiantes que sigan estas lecciones deberan ser
supervisados y motivados a aprenderlas, probarlas y utilizarlas. No obstante, ISECOM no
acepta responsabilidad alguna por el mal uso de la informacin presentada.
Las siguientes lecciones y cuadernos de trabajo son abiertos y accesibles al pblico bajo
los siguientes trminos y condiciones de ISECOM:
Todas las obras del proyecto Hacker Highschool se proporcionan para su uso no
comercial con estudiantes de escuelas primarias, secundaria y bachillerato ya sea en
centros pblicos, instituciones privada, o educacin en casa. Este material no puede ser
reproducido para su venta bajo ningn concepto. Impartir cualquier clase, formacin o
actividad con estos materiales cobrando por ello est expresamente prohibido sin la
adquisicin de una licencia, incluyendo cursos en escuelas, clases universitarias, cursos
comerciales, cursos de verano, campamentos de informtica, y similares. Para adquirir
una licencia, visite la seccin LICENCIA en la pgina web de Hacker Highschool en
www.hackerhighschool.org/licensing.html.
El proyecto HHS es resultado del esfuerzo de una comunidad abierta. Si encuentra til
este proyecto, le pedimos que nos apoye mediante la compra de una licencia, una
donacin o patrocinio.
2
Leccin 1: Ser un Hacker
Table of Contents
For the Love of Hacking............................................................................................................................5
3
Leccin 1: Ser un Hacker
Contributors
4
Leccin 1: Ser un Hacker
5
Leccin 1: Ser un Hacker
Algunos hackers ven la seguridad de las redes simplemente como otro reto, as que
trabajan con formas de engaar al sistema, pero lo que intentan hacer en realidad es
pensar como si fueran los instaladores de la red o su diseador. Averiguan tanto de la
red como pueden: de dnde toma sus instrucciones, las reglas que usa, cmo
interaccionan con el sistema operativo y con otros sistemas a su alrededor, qu usuarios
tienen acceso a ella y sobre los administradores que la gestionan. Entonces usan esa
informacin para probar diversas maneras de obtener lo que quieren. Este tipo de
hacking puede ser muy beneficioso para el mundo, ya que permite aprender cmo
estar ms seguro e incluso desarrollar una tecnologa mejor.
Desafortunadamente, algunas veces el hacking se lleva a cabo por criminales, y lo que
hacen es ilegal, invasivo y destructivo. Y son estos sobre los que habitualmente lees en
las noticias.
Un hacker no es alguien que publica en la cuenta de otro que se ha dejado su pgina
de una red social abierta, o espa por encima del hombro las contraseas para
conectarse a la cuenta ms tarde. Eso no es hacking. Un hacker tampoco es alguien de
descarga una herramienta para script kiddies con objeto de entrar en el correo de
otras personas. Esos no son hackers: son ladrones y delincuentes.
El Hacking es investigar. Has intentado alguna vez hacer algo una y otra vez de
diferentes maneras hasta obtener lo que queras? Has abierto alguna vez un
aparato o dispositivo para ver cmo funciona, investigar cules son sus
componentes, y ajustarlos de forma que lo haga de forma distinta? Eso es hacking.
Ests hackeando cuando examinas detenidamente cmo funciona algo con el fin
de manipularlo de forma creativa y conseguir que haga lo que t quieres.
Lo que ocurre es que en la forma en que est diseado Internet, y la gran cantidad de
aplicaciones, sistemas, dispositivos y procesos que existen en ella, es el lugar ms
habitual para encontrar hackers. Se podra decir que fue construido por hackers, as que
es su mejor patio de recreo. Pero no es el nico sitio. Puedes encontrar grandes hackers
en prcticamente cualquier campo o industria, y todos tienen una cosa en comn:
dedican tiempo a aprender cmo funcionan las cosas, por lo que pueden hacer que
funcionen de una forma nueva. No miran a algo como lo hacen sus diseadores
originales, sino como algo con mayor o mejor potencial para ello, y lo hackean para
convertirlo en algo nuevo.
No pienses que puedes ser un gran hacker. Slo si haces grandes hacks con mucha
humildad puedes ser grande.
El hacking per se no es ilegal. O por lo menos no ms ilegal que tirar una piedra. Todo
depende de las intenciones. Si tiras una piedra y tu intencin es herir a alguien, es un
delito. Si no intentas herir a nadie, pero alguien se hace dao, puede que no sea un
delito, pero eres responsable de tus acciones y tendrs que pagar una indemnizacin.
Un proyecto de ISECOM llamado Hacker Profiling Project encontr que la mayora de los
daos provocados por el hacking se deben a hackers jvenes e inexpertos que daan
la propiedad ajena accidentalmente. Sera algo parecido a tirar piedras en la calle por
6
Leccin 1: Ser un Hacker
Piensa en los cientficos que hicieron el mapa del genoma humano: usaron un
mtodo desarrollado para decodificar contraseas. Las contraseas se almacenan
habitualmente encriptadas, para que sean difciles de robar. La tcnica
Hierarchical shotgun brute-forcing es una forma de desencriptar contraseas
crackeando su encriptacin: se rompe el hash encriptado de la contrasea, se
descifran unos pocos caracteres en cada paso, y luego se une todo de nuevo. Los
investigadores del genoma adaptaron la misma tcnica para cartografiar los 3.300
millones de pares del genoma humano.
El hacking apareci en la cocina cuando los chefs empezaron a usar nitrgeno lquido
como agente congelante para hacer el helado perfecto, o cuando hackean la comida
para hacer chips de tomate con salsa de patata en lugar de ketchup, o simplemente
cuando necesitaban hacer algo para lo que no tenan las herramientas adecuadas...
Los qumicos han estado hackeando elementos y compuestos durante siglos. Por
naturaleza, las molculas son tan selectivas en su comportamiento en diferentes
ambientes (calor, frio, en las montaas o en las profundidades del ocano) que los
qumicos necesitan comprender en profundidad las propiedades de las sustancias que
emplean, para poder hackearlas y convertirlas en las que necesitan. En ningn otro lugar
esto resulta ms evidente que en la creacin de nuevos productos farmacuticos, donde
cientos de plantas de una regin se estudian por sus propiedades qumicas, de la raz a
los frutos, se extraen los compuestos y se combinan con otros para obtener nuevos
medicamentos. Luego lo intentan una y otra vez, a veces durante aos, hasta obtener la
combinacin correcta y conseguir que hagan lo que ellos quieren.
El hacking se utiliza en los negocios para entender un mercado o los hbitos de compra
de ciertos tipos de consumidores. Investigan a fondo las fuerzas que impulsan el rea de
negocios de su inters, y luego intentan cambiarlas o influir en ellas para que hagan lo
que ellos quieren. A veces hackean el producto, y otras te hackean a ti (con la
publicidad y el priming, algo con lo que trabajars en la leccin de Ingeniera Social).
7
Leccin 1: Ser un Hacker
La vida de la gente est cada vez ms presente en Internet, como hacer amistades,
encontrar trabajo o ganar dinero. La informacin puede ser muy valiosa (o peligrosa) y los
hackers pueden protegerse a s mismos mejor que nadie. Pueden investigar lo que ocurre
con su informacin. Pueden asegurarse de revelar slo lo que ellos desean y, por lo
general, mantenerse ms seguros y con mayor privacidad. Esto es una gran ventaja
competitiva en la escuela, el trabajo y la vida, porque incluso la menor imagen negativa
ser utilizada en tu contra. Puedes estar seguro de eso.
8
Leccin 1: Ser un Hacker
Cmo hackear
Contarte cmo hackear es como explicarte la forma de hacer un salto mortal de
espaldas en una barra fija: no importa lo detallada que sea la explicacin, que no sers
capaz de conseguirlo a la primera. Necesitas desarrollar las habilidades, los sentidos y la
intuicin mediante la prctica o te dars un buen golpe. Pero hay algunas cosas que
podemos contarte para ayudarte, y que te animarn a seguir practicando.
En primer lugar, deberas conocer algunos secretillos sobre cmo funciona el hacking.
Vamos a tomar estos de OSSTMM (www.osstmm.org). Los hackers lo pronuncian ous-
tem. OSSTMM son las siglas de Open Source Security Testing Methodology Manual
(Manual de Metodologa Abierta de Pruebas de Seguridad), y aunque pueda parecerte
el manual de un reproductor de DVD, es el principal documento que utilizan muchos
hackers profesionales para planificar y ejecutar ataques y defensas. Dentro de ese
manual encontrars algunas joyas que te abrirn los ojos.
Ejercicios
1.1 Qu tipo de interaccin se da al utilizar un motor de bsquedas? Pinsalo
cuidadosamente: Alguien da acceso? Alguien da confianza?
1.2 Pon un ejemplo sencillo sobre usar Acceso y Confianza para robar una bicicleta
encadenada a un soporte.
1.3 Da un ejemplo sencillo de cmo se puede utilizar Acceso y Confianza para iniciar
sesin en el webmail de otra persona.
9
Leccin 1: Ser un Hacker
10
Leccin 1: Ser un Hacker
Para muchas, muchas personas (podramos poner ms veces el adverbio muchas para
indicar que en realidad queremos decir infinitamente muchsimas muchas ms), la
seguridad es colocar un producto en un lugar, en el cual hay una cerradura, alarma,
firewall o cualquier otra cosa que la mantenga segura. Pero en ocasiones estos
productos no funcionan tan bien como deberan, o vienen con sus propios problemas
que incrementan tu Superficie de ataque (Attack Surface), cuando un producto de
seguridad debera reducirla. (La Superficie de ataque son todas las formas y todas la
interacciones que permiten que algo o alguien sea atacado). Y buena suerte cuando
adquieras ese producto mejorado para su comercializacin masiva, y tengas que pagar
peridicamente por su uso y hacer crowd-sourcing; lo compraste tal cual es, y tendrs
que vivir con eso. Por eso hackeas tu seguridad. Necesitas analizarla y averiguar dnde
falla y saber cmo cambiarla para que funcione mejor. Despus, deberas hackearlo un
poco ms para evitar que la compaa a la cual se lo compraste vuelva a ponerlo en su
configuracin por defecto!
As que cuando pienses en el hacking como una forma de romper la seguridad, recuerda
que eso slo es un rea de aplicacin, porque sin la posibilidad de hacerlo, debers
rendirte y entregar parte de tu libertad y privacidad; y eso no es algo que quieras hacer.
(Y puede ser que ahora no te importen ciertas cosas que dices o que envas, pero
Internet tiene una gran memoria que mejora con el tiempo y ayuda a otros a recuperar
esos recuerdos sobre ti. Lo que ocurre en la Red, se queda en la Red. As que piensa en el
futuro, incluso si hoy no te importa).
Ahora que comprendes el concepto de interaccin, vamos a entrar en ms detalles.
Conoces los tipos bsicos de interacciones como Acceso y Confianza, pero Has odo
hablar de la Visibilidad? Es el tercer tipo de interaccin. Es tan potente como los otros
dos. En lenguaje policial, se resume como oportunidad pero en hacking se trata ms de
saber si hay algo sobre lo que interactuar o no. Esta interaccin trae consigo un montn
de nuevas tcnicas de seguridad como el engao, la ilusin, el camuflaje, y todas las
nuevas tcnicas de hacking para evitar y evadir las medidas de seguridad!
11
Leccin 1: Ser un Hacker
Ejercicios
1.4 Internet es conocido por crear mitos y perpetuar historias falsas durante tanto
tiempo que es difcil saber qu informacin es real y cual es un hoax. As que si
quieres ser un buen hacker, adquiere la costumbre de revisar los hechos y
aprender la verdad acerca de las cosas. Por este motivo, vas a buscar si Jesse
James dijo eso realmente. Y no te quedes con la respuesta corta que aparece
en el primer resultado que encuentres. Investiga un poco.
Ahora que te estas acostumbrando a investigar las cosas, encuentra la verdad
sobre estos hechos aceptados:
1.5 La palabra Igl viene del idioma Inuit. Qu significa en realidad? Qu tipo de
interacciones usas para encontrar su significado?
1.6 Muchos padres afirman que el azcar vuelve hiperactivos a los nios pequeos.
Qu hay de verdad en eso? Qu interacciones se producen realmente en sus
tripitas cuando los nios comen muchos dulces o alimentos azucarados que les
incitan a hacer tonteras y ser hiperactivos?
1.7 Tambin habrs escuchado que el azcar agujerea los dientes (caries), pero
Cul es la interaccin real que tiene lugar? Qu causa en realidad la caries?Si
no es el azcar, entonces Qu es? Puntos extra si puedes explicar que cepillarse
los dientes es una interaccin para luchar con la causa real del problema, y
encuentras el nombre de al menos un producto qumico que ataca la raz del
problema (una pista: no es el Flor)
12
Leccin 1: Ser un Hacker
13
Leccin 1: Ser un Hacker
Ejercicio
1.8 Como has visto, el Proceso de Cuatro Puntos (FPP) te permite investigar en
profundidad las interacciones. Ahora prueba t: Explica cmo puedes utilizar el
Proceso de Cuatro Puntos para saber si un reloj funciona (y si lo hace
correctamente, dando la hora exacta)
Qu hackear
Cuando ests hackeando, debes establecer unas reglas mnimas. Necesitas el lenguaje y
los conceptos para saber que estas hackeando. El Alcance (Scope) o mbito de
aplicacin es un trmino que utilizamos para describir el posible total del entorno
operativo, y consiste en todas las interacciones que posee lo que vas a hackear.
14
Leccin 1: Ser un Hacker
(PHYSSEC) Fsico
No deberas preocuparte por las Clases, pero debes saber que son las etiquetas
oficiales usadas en la actualidad por las industrias de seguridad, gobierno y militar.
Las clases definen un rea de estudio, investigacin u operacin. As que si ests
buscando ms informacin sobre cualquier asunto, es bueno que sepas cmo lo
llaman los profesionales.
Los Canales son la terminologa comn para referirse a las formas en las que
interaccionas con los Activos. No es raro hackear un dispositivo usando el Proceso
de Cuatro Puntos sobre cada Canal. Si, puede parecer mucho trabajo, pero piensa
en lo emocionante que es descubrir una forma de hacerlo funcionar que no
aparece en el manual, o mejor incluso: que ni siquiera sabe el fabricante!
Un Activo puede ser cualquier cosa que tenga valor para su propietario. Puede tratarse
de una propiedad fsica como el oro, las personas, unos planos, un porttil, la tpica seal
telefnica en una frecuencia de 900MHz, el dinero, o bienes intelectuales como
informacin personal, una relacin, una marca, un proceso de negocios, contraseas o
algo que se dijo sobre la seal telefnica en los 900MHz.
Las Dependencias son aquellas cosas que estn fuera de la capacidad del propietario
de proporcionarlas de forma independiente. Por ejemplo, no muchos propietarios de
computadores generan su propia electricidad. Aunque no sea probable que alguien
vaya a cortarte el suministro elctrico, eso es algo que todava se encuentra dentro de tu
mbito de aplicacin.
El objetivo de la seguridad es la Separacin entre un activo y sus dependencias, y
cualquier amenaza para ellos.
Decimos que la seguridad es una funcin de separacin. Hay cuatro formas para
crear esa separacin:
Mover el activo y crear una barrera entre l y las amenazas.
Cambiar la amenaza a un estado inofensivo.
Destruir la amenaza.
Destruir el activo. (No se recomienda!).
15
Leccin 1: Ser un Hacker
As que cuando estamos hackeando, buscamos lugares donde las interacciones con el
objetivo sean posibles, y donde no lo son. Piensa en las puertas en un edificio. Algunas son
necesarias para los trabajadores, mientras que otras son necesarias para los clientes.
Algunas pueden ser necesarias para huir de un incendio. Y algunas pueden no ser
necesarias en absoluto.
Cada puerta, sin embargo, es un punto de interaccin, que ayuda tanto a las
operaciones necesarias como a las no deseadas (como el robo). Cuando llegamos a
escena como hackers, no lo hacemos sabiendo el motivo de todos estos puntos de
interaccin, por lo cual los analizamos empleando el Proceso de Cuatro Puntos.
Veamos el ejemplo de una persona que quiere estar completamente a salvo de los
rayos. La nica manera de hacer esto (mientras siga en La Tierra) es ir al interior de una
montaa, donde es completamente imposible que entre un rayo a travs de la tierra y
las rocas. Suponiendo que no tenga que salir de nuevo podemos decir que su seguridad
es absolutamente un 100%. Pero si comenzamos a taladrar agujeros en la montaa, el
rayo tendr un punto ms de acceso con cada agujero, y la porosidad aumenta. Por
eso, OSSTMM diferencia entre estar Seguro (Safe) de los rayos y estar Protegido
(Secure)de ellos. El hecho es que cuanta ms porosidad haya, es ms posible que un
hacker pueda realizar cambios y controlar lo que quiera.
16
Leccin 1: Ser un Hacker
17
Leccin 1: Ser un Hacker
Trmino Definicin
Recursos
Buscar eficazmente y tener capacidad de aprendizaje son las habilidades
fundamentales de un hacker. El hacking, en realidad, es un proceso creativo que se basa
18
Leccin 1: Ser un Hacker
Libros
Puede que te extrae que no te dirijamos directamente a Internet, pero los libros son la
mejor manera de aprender las bases y conocimientos cientficos de todo lo que quieres
explorar. Quieres saber algo sobre informtica, como los detalles del hardware de tu
PC? Nada te ayudar ms que leer un libro actual sobre el tema. El principal problema
de los libros sobre informtica es que se vuelven obsoletos rpidamente. El secreto es
aprender a ver la base estructural que se encuentra bajo la fina piel de los detalles. MS-
DOS y Windows son claramente diferentes, pero ambos se basan en los principios de la
lgica Booleana que utilizan los computadores desde que Ada, Condesa de Lovelace,
escribi el primer programa de ordenador en el siglo XIX. Los problemas de seguridad y
privacidad pueden haber cambiado en los ltimos 2.500 aos, pero el Arte de la Guerra
de Sun Tzu cubre principios fundamentales que todava se aplican hoy. (Por cierto, la
forma ms rpida de parecer un n00b es citar a Sun Tzu. Hay cosas que debes saber,
pero no decir. Y citar el Arte de la Guerra demuestra que no lo has ledo, ya que Sun Tzu
deca que hay que mantener tus conocimientos reales en secreto).
A pesar que la informacin que encuentres en los libros puede no estar tan actualizada
como la que viene de otras fuentes, te dars cuenta de que la informacin que veas en
ellos est mejor escrita que en muchas de las otras fuentes. A veces, tambin son ms
precisas. Es ms probable que un escritor que dedica un ao a escribir un libro
compruebe los hechos, que lo haga alguien que actualiza un blog seis veces al da. (Mira
la seccin sobre Zines y Blogs para ms informacin).
Pero recuerda: precisin no es equivalente a imparcialidad. Las fuentes de informacin
del autor pueden no ser objetivas. Los libros de historia los escriben los vencedores
(busca esta cita); esto tambin se aplica a la poltica, y reglas sociales de una poca
impiden que cierta informacin se publique. Esto ocurre habitualmente con los libros de
texto seleccionados mediante un proceso poltico y contienen slo la informacin que se
considera socialmente aceptable para aprender. No pienses que has encontrado una
regla de oro slo porque lo leste en un libro. Lo cierto es que cualquiera puede escribir un
libro, y cualquier libro puede contener cualquier versin de la verdad.
19
Leccin 1: Ser un Hacker
No mires un libro para luego abandonarlo, incluso antes de empezar a leerlo, porque
es muy grande. Nadie de los que veas sentados a tu alrededor lee esos enormes
libros de principio a fin. Piensa en ellos como en pginas web prehistricas. Abre uno
por una pgina al azar y empieza a leer. Si no entiendes algo, retrocede y busca la
explicacin (o sltatelo y avanza hasta algo que tenga sentido). Salta a travs del
libro, hacia atrs y hacia delante, tal y como lo haras saltando de un enlace a otro
en una pgina web. Esta forma de lectura no lineal es con frecuencia mucho ms
interesante y satisfactoria para los hackers, ya que se trata ms de satisfacer tu
curiosidad que de leer.
Finalmente, algo que adquieren los lectores de libros es la valiosa capacidad de escribir
bien. Esta es una gran ventaja cuando intentas participar y entender un nuevo campo.
Tambin hacen ms crebles las cosas que quieres contar a otros lectores, especialmente
a aquellos que ocupan puestos de autoridad.
Revistas y Peridicos
Las revistas y peridicos son muy tiles para obtener informacin de forma concisa y
puntual. Ambos tipos de publicacin pueden ser, sin embargo, muy escuetos en los
detalles. Adems ten en cuenta que cada peridico o revista tiene su propia audiencia y
una linea editorial o temtica, a pesar de cualquier anuncio sobre neutralidad e
imparcialidad. Conoce la temtica de la publicacin: una revista sobre Linux no es
precisamente una buena fuente de informacin sobre Microsoft Windows, dado que
Windows es un tema espinoso (un sistema operativo competidor), y sinceramente, el
lector de una revista sobre Linux quiere leer sobre la superioridad de Linux. Muchas de las
revistas especializadas utilizan cherry picking, una tcnica que destaca slo los aspectos
positivos de algo que encaja en la linea editorial de la revista, y destaca los aspectos
negativos de aquello que no lo hace.
Hay un importante movimiento en el campo mdico para que se publiquen todas las
pruebas mdicas y farmacuticas (o al menos todos los ensayos financiados con fondos
pblicos), incluso de aquellas que han resultado fallidas, de forma que los mdicos
puedan contar con ms informacin a la hora de aplicar tratamientos y tomar
decisiones. Mientras que en las revistas mdicas actuales publican los "hechos" de los
ensayos de investigacin, los detalles y las circunstancias detrs de esos hechos siguen
siendo turbia. Eso es muy importante cuando se tratan temas que dependen de causas
profundas. La causalidad requiere que la causa le preceda y es la razn del efecto.
Otro truco utilizado por las revistas (tanto de forma accidental como a propsito) son las
pruebas anecdticas, que son opiniones de personas publicadas como pruebas
20
Leccin 1: Ser un Hacker
Ejercicios
1.9 Busca en Internet tres revistas online que traten sobre Seguridad. Cmo
encontraste estas revistas?
1.10 Las tres revistas tratan especficamente sobre seguridad informtica? Que
otras cosas ofrecen que puedan resultar de ayuda en otros campos o negocios?
21
Leccin 1: Ser un Hacker
El banco Lake Meadow Bank and Mortgage Lender fue atracado el Martes a ltima hora cuando unos
pistoleros enmascarados entraron unos momentos antes de la hora del cierre, y retuvieron a los empleados como
rehenes durante una hora en lo que pareca ser un intento de fuga en un SUV ltimo modelo. Ninguno de los
rehenes fue herido.
Nadie pudo identificar a los atracadores, lo que hace pensar a la polica que poda tratarse de profesionales, ya
que momentos despus del robo, el coche fue visto tras el banco alejndose hacia el sur hacia los densos bosques
de Bluegreen Mountains. La polica busca a atracadores con experiencia, que puedan tener antecedentes
policiales y mantengan relaciones con personas que vivan en la zona.
Con una media de 57 atracos diarios a bancos entre esta zona y el condado de Bluegreen, y una poblacin
aproximndose a las 50.000 personas para el ao que viene, esto podra ser el comienzo de una oleada de atracos
a bancos en esta regin. Parece el comienzo de una moda declar el comisario de polica Smith.
El banco Righteous Bank and Mortgage Lender fue atracado el martes a ltima hora cuando lo que parecan
ser unos pollos enmascarados entraron momentos antes del cierre, lo que significa que podran haber retenido a
los empleados como rehenes durante una dcada antes de lo que pareca ser un intento de fuga en un globo
aerosttico. No se ha informado sobre si alguno de los rehenes fue emplumado.
Nadie pudo identificar a los pollos, lo que lleva a la polica a creer que deban contar con un profesional del
disfraz entre ellos, adems de un piloto de aerostatos, dado que instantes despus del robo se vio un globo
flotando sobre el banco, volando en direccin sur hacia las tundras de la Antrtida. La polica se encuentra,
posiblemente, buscando a expertos maquilladores que tengan vnculos con los aficionados a los globos.
Con una media de 57 atracos en bancos cada da en el pas, y la industria de globos aerostticos informando de
que sus ventas podran alcanzar los 47 muchimillones de dlares en un futuro prximo, esto podra ser el
comienzo de una oleada de robos usando globos. Parece el comienzo de una moda dijo el comisario de polica
Gordon.
22
Leccin 1: Ser un Hacker
Motores de bsqueda
Google es un motor de bsqueda muy conocido, pero no es el nico que existe. Bing es
muy bueno con preguntas sencillas, y Yahoo lo es para hacer investigaciones
exhaustivas. Pero ten en cuenta que todos estos servicios web quieren saberlo todo
acerca de ti, y probablemente saben ms de lo que deberan. Guardan tus resultados y
los sitios visitas despus de tus bsquedas.
Los sitios web se pueden consultar mientras estn en linea y normalmente mucho tiempo
despus de eso. Normalmente, se conservan en forma de pginas cacheadas. Una
cach de Internet es un registro online de las versiones anteriores de un sitio web, o
incluso de sitios web que ya no existen. Los motores de bsqueda y los sitios de archivo
almacenan esa informacin indefinidamente, lo que en terminologa de Internet significa
para siempre. Es muy importante recordarlo incluso antes de que pongas algo en
Internet: no va a desaparecer. Nunca. Puede que tengas que buscarlo en un link a la
copia en cach de una pgina. Google, por ejemplo, sola poner un enlace llamado
Cach junto al link del resultado. Esto ha cambiado a un men flotante a la derecha, y
puede haber cambiado otra vez cuando leas esto.
Adems de los motores de bsqueda, tambin existen cachs pblicas muy tiles en
sitios como Internet Archive (http://www.archive.org). Puedes encontrar versiones
cacheadas de sitios web completos a travs de los aos, lo cual puede ser muy til para
encontrar informacin que ha desaparecido.
Una ltimo detalle sobre los sitios web: no asumas que puedes confiar en un sitio web slo
porque aparezca en un motor de bsqueda. Muchos de los ataques de hackers y virus se
propagan con slo visitar un sitio web, descargar programas de aspecto inocente,
protectores de pantalla o archivos compartidos. Puedes protegerte no descargando
programas desde sitios web no confiables, y asegurndote de que tu navegador se
ejecuta en un entorno limitado (sandbox). Pero esto puede no ser suficiente. Un
navegador es una ventana a Internet y como una ventana, pueden entrar flotando
cosas malas tan slo porque est abierta. A veces ni siquiera lo sabremos hasta que sea
demasiado tarde.
Ejercicios
1.11 Hay muchos motores de bsqueda ah fuera. Algunos son buenos para consultar
la Web Invisible, reas de Internet que son difciles de rastrear para muchos
motores de bsqueda, como ciertas bases de datos privadas. Un buen
investigador saber cmo usarlos todos. Algunos sitios web se especializan en el
seguimiento de motores de bsqueda. As que encuentra cinco motores de
bsqueda que no hayas utilizado o de los que no hayas odo hablar antes.
1.12 Tambin hay motores de bsqueda que buscan otros motores de bsqueda. Se
llaman meta search engines. Encuentra uno de esos meta search engines.
23
Leccin 1: Ser un Hacker
1.13 Busca seguridad y hacking (incluyendo las comillas) y anota los tres primeros
resultados. Cunto difieren los resultados si NO usas comillas?
1.14 Es muy distinto buscar sobre un tema a buscar una palabra o frase. En el ejercicio
anterior buscaste una frase. Ahora buscaremos una idea.
Para hacer esto, piensa en frases que puedan estar en la pgina que ests
buscando. Si quieres que el motor de bsqueda te devuelva una lista de revistas
online sobre hacking, no irs muy lejos si buscas una lista de revistas online sobre
hacking. No hay muchas pginas web que contengan esa frase! Podrs
obtener algunos resultados, pero no demasiados.
En lugar de eso, necesitas pensar: si yo estuviera creando una revista sobre
hacking, cual sera una frase tpica que pondra en la revista? Pon las siguientes
palabras y frases en un motor de bsquedas y encuentra cual te proporciona los
mejores resultados para tu bsqueda:
1. mi lista de revistas favoritas sobre hacking
2. lista de revistas profesionales sobre hacking
3. recursos para hackers
4. revista de hacking
5. revistas hacking seguridad lista recursos
1.15 Busca el sitio web ms antiguo de Mozilla en Internet Archive. Para hacerlo,
necesitas buscar www.mozilla.org en http://www.archive.org
1.16 Ahora vamos a unir las cosas. Digamos que quieres descargar la versin 1 de
navegador Netscape. Utilizando motores de bsqueda y Internet Archive, mira
si puedes localizar y descargar la versin 1.
24
Leccin 1: Ser un Hacker
Ejercicios
1.17 Utiliza un motor de bsqueda para encontrar sitios que han cometido el error de
dar acceso privilegiado a todo el mundo. Para hacer esto, buscaremos carpetas
que nos dejen listar el contenido (un directory listing), algo que en condiciones
normales no debera estar permitido. Para esto, usaremos algunos trucos con los
comandos de Google en http://www.google.com. Escribe esto en la caja de
bsqueda:
allintitle:"index of" .js
Examina los resultados y deberas encontrar alguno que parezca un volcado de
directorio (directory listing). A este tipo de bsquedas se le denomina Google
Hacking
1.18 Puedes encontrar otra clase de documentos usando esta tcnica? Encuentra
tres directory listing ms que contengan archivos .doc files, y .avi.
1.19 Existen otras opciones de bsqueda similares a allintitle:? Cmo puedes
encontrarlas?
Zines
Los Zines, tambin llamados e-zines, son los descendientes de los fanzines: revistas
pequeas, generalmente gratuitas con una tirada muy reducida (menos de 10.000
lectores) y frecuentemente producidas por periodistas aficionados y amateurs. Los
fanzines se impriman en papel. Los zines en Internet, como el famoso 2600 o Phrack web
zine, estn escritos por voluntarios; esto implica que, con frecuencia, los editores no
editan los artculos buscando errores no tcnicos. Algunas veces, el duro lenguaje que
emplean puede sorprender a aquellos que no estn familiarizados con este gnero.
Los zines tienen una temtica o linea editorial bastante contundente, y tienden a ser
bastante parciales. Sin embargo, tambin son ms propensos a mostrar y discutir
ambos lados del problema, ya que no tienen que preocuparse por complacer a sus
anunciantes y suscriptores.
Ejercicios
1.20 Busca en Internet tres zines sobre hacking. Cmo los encontraste?
1.21 Por qu clasificas esos resultados como zines? Recuerda, slo porque se
etiquetan como zine o ponen zine en el ttulo no significa que lo sean.
25
Leccin 1: Ser un Hacker
Blogs
Podemos considerar a los blog cmo una evolucin de los zines, y cuentan con una
plantilla de escritores de una persona. Los blogs se actualizan con ms frecuencia que la
mayora de publicaciones escritas o los zines, y crean comunidades alrededor de temas
de inters. Es importante leer tanto los comentarios cmo los artculos. Incluso ms que en
el caso de los zines, en los blogs las respuestas son inmediatas y bastante posicionadas,
con comentarios de ambos bandos. Esto es uno de sus valores especiales.
Ejercicios
1.22 Busca en Internet tres blogs que traten sobre hacking.
1.23 Con qu grupos o comunidades estn asociados?
1.24 Hay temas de seguridad, legalidad o acadmicos en el blog?
Hay muchas listas de correo sobre temas especficos, pero pueden ser difciles de
encontrar. A veces, la mejor tcnica es buscar informacin sobre un tema en
particular para localizar una comunidad de listas de correo que traten sobre l.
26
Leccin 1: Ser un Hacker
invisible porque contienen datos que slo pueden buscarse directamente en el sitio web
o foro.
Ejercicios
1.25 Encuentra dos foros de hackers. Cmo encontraste esos foros?
Puedes determinar los temas o asuntos en que se especializan estos sitios web?
Los asuntos del foro reflejan la temtica del sitio web que los aloja?
1.26 Encuentra dos listas de correo sobre hacking o seguridad.
Quin es el propietario (owner) de esas listas? Puedes ver la lista de miembros?
(Es posible que tengas que averiguar qu aplicacin web se ha empleado en la
lista, y buscar en la web los comandos ocultos que te permiten ver la lista de
miembros de esa clase de lista de correos)
En qu listas esperaras que la informacin fuera ms objetiva y menos sesgada?
Por qu?
Grupos de noticias
Los Newsgroups o Grupos de noticias llevan mucho tiempo entre nosotros. Haba grupos
de noticias incluso antes de que existiera la web. Google compr el archivo completo de
grupos de noticias y lo puso online en http://groups.google.com. Los grupos de noticias
son como listas de correo... pero sin el correo. La gente escriba all directamente, tal y
como lo haran comentando en un sitio web. Encontrars mensajes desde principios de
los 90 en adelante.
Igual que en los archivos web (the web archives), los grupos de noticias pueden ser
importantes para encontrar quien tuvo originalmente una idea o quien cre un
producto. Tambin son tiles para encontrar esa informacin oculta que nunca
apareci en una pgina web.
Los grupos de noticias no son menos utilizados hoy en da de lo que se usaban aos atrs,
antes de que la web se convirtiera en la fuente principal para intercambiar informacin.
Sin embargo, tampoco han crecido ya que su popularidad se ha reemplazado por
nuevos servicios web como blogs y foros.
Ejercicios
1.27 Usando Google's groups, encuentra el grupo de noticias sobre hacking ms
antiguo que puedas.
1.28 Encuentra otras formas de usar los grupos de noticias. Hay aplicaciones que
puedas utilizan para leer los Newsgroups?
1.29 Cuantos grupos de noticias puedes encontrar que traten sobre hacking?
1.30 Puedes encontrar una lista actualizada sobre todos los diferentes grupos de
noticias que existen en la actualidad?
27
Leccin 1: Ser un Hacker
Wikis
Los Wikis son el fenmeno ms reciente en Internet. Wikipedia (www.wikipedia.org) es
probablemente el ms famoso, pero hay muchos otros. Como muchos otros sitios, los wikis
los construyen las comunidades. Los informes afirman con frecuencia que los wikis no son
precisos porque han contribuido amateurs y fanticos. Pero esto tambin es cierto en los
libros, listas de correo, revistas y todo lo dems. Lo que es importante es saber que los
expertos no son la nica fuente de ideas geniales e informacin objetiva. Como seala
OSSTMM, los hechos vienen de los pequeos pasos que damos al comprobar las ideas, y
no de grandes avances en los descubrimientos. Por eso los wikis son grandes fuentes de
ideas amateurs y profesionales que poco a poco, progresivamente, se verifican entre
ellas.
Los wikis tambin suelen hablar sobre las mltiples facetas de un tema y te permiten
seguir como se refuta, refina y cambia la informacin a travs de una lista de
ediciones. Por tanto son grandes lugares en los que buscar informacin, pero con
frecuencia tendrs que ir al sitio web del wiki para ejecutar las bsquedas.
Ejercicios
1.31 Busca Ada Lovelace." Encuentras resultados de wikis?
1.32 Ve a la Wikipedia y repite esta bsqueda. Dale un vistazo al artculo que
encontrars sobre ella. Estaba incluido en la lista de resultados de tu bsqueda?
1.33 Comprueba las ediciones de esa pgina de la Wikipedia, y busca que clase de
cosas se han cambiado y corregido. Qu clase de cosas han cambiado? Hay
algo que se haya cambiado y luego devuelto a su estado anterior? Ahora elige
una estrella de cine o cantante famoso, ve a esa pgina en Wikipedia y
comprueba las ediciones Puedes ver la diferencia?
1.34 Encuentra otra wiki y haz la misma bsqueda. Alguno de los resultados que
aparecen estaban en la primera bsqueda con el motor web?
Redes sociales
Usas alguna red social? O ms de una? Como hacker ests bien informado de los sitios
ms populares del momento. Y que hay de esos que no son populares como eran
antes? Todava existen, y todos los datos siguen disponibles en la mayora de los casos.
Esto significa que existen un gran repositorio de informacin sobre nosotros, mucha
de la cual se ha proporcionado libremente, Y permanecer all para siempre.
Las redes sociales, con frecuencia, tienen subgrupos o comunidades con intereses
comunes. Los sitios con una temtica profesional cuentan frecuentemente con grupos de
ciberseguridad, y en los sitios de temtica underground existen habitualmente grupos
de hackers. En los sitios profesionales se espera (todos los dems tambin) que uses tu
nombre real. En los sitios de hackers, no tanto.
28
Leccin 1: Ser un Hacker
Y lo ms importante de todo: usas tu nombre real en los medios sociales, o usas un alias?
Hay alguna forma de que tu alias sea trazado hasta tu nombre real? Mucha gente no se
da cuenta de eso cuando utilizan alias, pero no es raro que publiquen accidentalmente
o a propsito su nombre real, direccin, ciudad, escuela, empleo y cosas parecidas
cuando usan su alias. Si otro hacker te hace un DoX desde tu alias, entonces puede
darse cuenta rpidamente de quien eres precisamente por esos pequeos y estpidos
errores. Si usas un alias para permanecer annimo ante quien no conoces, asegrate que
continas as. Y NUNCA te equivoques de alias si tienes ms de uno.
Ejercicios
1.35 Bscate a ti mismo. Obtienes algunos resultados tuyos (que sean realmente
tuyos)? Alguno de esos vienen de redes sociales?
1.36 Ve a una red social que utilices. No hagas login, pero repite la bsqueda como si
no estuvieras registrado. Cunto puedes encontrar acerca de ti?
1.37 Ve a una red social que utilice un amigo. De nuevo, no te registres si tienes una
cuenta. Busca a tu amigo. Cunto puedes averiguar acerca de l?
Chat
El Chat, se presenta como Internet Relay Chat (IRC) e Mensajera instantnea (IM), es una
forma muy popular de comunicarse.
Sin embargo, una vez que te sientas cmodo con ciertos grupos y canales, puedes ser
aceptado en la comunidad. Se te permitir hacer ms y ms preguntas, y aprenders en
quien puedes confiar. Llegado el momento, tendrs acceso a los exploits ms recientes
(los llamados zero day, que significa que se acaban de descubrir) y profundizar en tus
propios conocimientos.
Ejercicios
1.38 Encuentra tres programas de mensajera instantnea. Qu los hace diferentes ?
Pueden utilizarse para hablar uno con otros?
1.39 Busca lo que es un IRC, y cmo puedes conectarte a l. Puedes encontrar que
red tiene el canal de ISECOM? Una vez que te unas a la red, Cmo puedes
conectarte al canal isecom-discuss?
1.40 Cmo sabes que canales existen en una red de IRC? Encuentra tres canales de
seguridad, y tres canales de hacking. Puedes entrar en esos canales? Hay
gente hablando en ellos, o son bots?
P2P
29
Leccin 1: Ser un Hacker
Peer to Peer, tambin llamado P2P, es una red dentro de Internet. A diferencia de las
redes habituales cliente-servidor, donde cada computador se comunica a travs de un
servidor central, los computadores en redes P2P se comunican directamente unos con
otros. Muchas personas asocian el P2P a descargar MP3 y pelculas pirateadas, como
con el infame Napster, pero hay muchas otras redes P2P (todas con el propsito de
intercambiar informacin y como medio de realizar investigaciones sobre el intercambio
de informacin distribuida)
El problema de las redes P2P es que, mientras que puedes encontrar casi cualquier cosa
en ellas, algunas estn en las redes ilegalmente. Otras cosas estn all legalmente pero
las compaas que las crearon piensan que no deberan estar, y son felices demandando
por dinero al propietario de cualquier portal de Internet de donde es descargado
Ejercicios
1.41 Cules son las tres redes ms populares y utilizadas en P2P? cmo funciona
cada una de ellas? Qu programa necesitas usar?
1.42 Investiga el protocolo de una de esas redes P2P. Qu hace, y cmo consigue
descargar ms rpido?
1.43 Busca Descargar Linux.Puedes descargarte una distribucin (o distro) de Linux
usando P2P?
Certificaciones
Hay certificaciones OSSTMM para Security Tester y Security Analyst, distintas variantes de
certificaciones hacker, certificaciones basadas en alguna versin debuenas
prcticas y otros certificados con toda clase de iniciales o smbolos extraos.
Por qu preocupate por las certificaciones? Pues debido a que puedes obtener
algunas de ellas a cualquier edad, ya que no es necesario tener un ttulo universitario
para conseguirlas, y porque puede ponerte en la posicin de persona codiciada, en
lugar de ser una persona que solicita un puesto.
30
Leccin 1: Ser un Hacker
Seminarios y jornadas
Acudir a seminarios es una buena forma de escuchar en detalle las explicaciones sobre
la teora, y ver las tcnicas puestas en prctica. Incluso es interesante asistir a seminarios
que presentan un producto y muestran cmo debe utilizarse, siempre y cuando tengas
en cuenta que el evento es marketing y su finalidad es venderlo.
Por nuestra parte, seramos negligentes si no mencionramos que podemos ofrecer
seminarios de Hacker Highschool en muchos lugares, y que podemos tratar cualquiera de
las lecciones disponibles. Los seminarios consisten en hackers profesionales hablando a los
estudiantes sobre hacking y cmo ser un hacker, tanto bueno como malo. Estos
seminarios dan una visin profunda sobre lo que son los hackers reales desde la
perspectiva del Hacker Profiling Project, un proyecto de colaboracin con Naciones
Unidas que investiga quienes son los hackers y porqu hackean. Entonces podrs
descubrir el lado positivo del hacking y cmo no siempre est en el Lado oscuro.
Una de las cosas ms importantes en las que podemos ayudarte es a encontrar los
medios para ser intelectualmente curioso e ingenioso como un hacker. Los hackers
triunfan en lo que hacen porque saben cmo aprender, ir ms all del contenido de las
lecciones disponibles y aprender las habilidades que necesitan para avanzar.
As que eres bienvenido si dices a tus padres y profesores que quieres ayudar y crear una
delegacin de Hacker Highschool en tu colegio. Contacta con ISECOM para obtener
ms informacin.
31
Leccin 1: Ser un Hacker
Lecturas adicionales
Ahora deberas practicar hasta que seas un maestro de las bsquedas. Cuanto mejor lo
hagas, ms rpidamente encontrars la informacin y aprenders ms rpido. Pero
desarrolla tambin un ojo crtico. No toda la informacin es cierta.
Recuerda que siempre debes preguntarte: Por qu mienten? Hay dinero de por
medio al ser deshonesto o perpetuar un rumor o una historia? De dnde vienen los
hechos? Y lo ms importante, Cul es el alcance?
Para ayudarte a convertirte en un mejor investigador para el programa Hacker High School,
aqu hay algunos temas adicionales y unos trminos para que puedas investigar:
Meta Search
The Invisible Web
Google Hacking
How Search Engines Work
The Open Source Search Engine
The Jargon File
OSSTMM
ISECOM Certifications:
OPST (OSSTMM Professional Security Tester)
OPSA (OSSTMM Professional Security Analyst)
OPSE (OSSTMM Professional Security Expert)
OWSE (OSSTMM Wireless Security Expert)
CTA (Certified Trust Analyst)
SAI (Security Awareness Instructor)
32